Python 内の SQL ステートメントで変数を安全に使用するにはどうすればよいですか?

Python の SQL ステートメントでの変数の使用

この記事では、Python の SQL ステートメントでの変数の使用に関する一般的な問題の解決策を提供します。次の Python コード:

cursor.execute("INSERT INTO table VALUES var1, var2, var3")

は、変数名がクエリ テキストの一部として含まれているため、エラーで失敗します。これを解決するには、次の構文を使用します。

cursor.execute("INSERT INTO table VALUES (%s, %s, %s)", (var1, var2, var3))

この解決策では、SQL ステートメント内の変数名がプレースホルダー (%s) に置き換えられます。次に、パラメーターはタプル (var1、var2、var3) として渡されます。単一のパラメータを渡す場合、タプルはカンマで終わる必要があることに注意してください。

このメソッドを使用すると、データベース API が変数の適切なエスケープと引用を確実に処理します。文字列フォーマット演算子 % はエスケープや引用符を実行しないため、使用しないことが重要です。これにより、SQL インジェクションなどのセキュリティ上の脆弱性が発生する可能性があります。

以上がPython 内の SQL ステートメントで変数を安全に使用するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。